路由器回流--内网不能访问网站的问题

最新推荐文章于 2025-07-08 15:35:24 发布
最新推荐文章于 2025-07-08 15:35:24 发布
阅读量2.4w 收藏 29
点赞数 12
分类专栏: 项目经验
本文详细解释了路由器回流的概念及其实现原理。通过一个具体的例子,说明了在不支持回流的情况下,内部网络中的计算机为何不能访问同一网络内的服务器。同时,文章还介绍了如何通过修改数据包的源地址和端口实现正常的回流。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

路由器回流简介

(端口映射特例)

回流是什么?最简单的一个实例:

网吧内网一台主机192.168.0.2建了个WEB服务站点端口80,然后在网关(其内网地址是192.168.0.1、公网地址为218.4.218.4)上映射80端口到192.168.0.2的80端口,这样INTERNET上就能以http://218.4.218.4:80的地址访问到192.168.0.2的WEB站点了。

然后出现了个问题,在同网吧的另一台电脑192.168.0.3上,键入http://218.4.218.4:80,却无法访问该WEB站点。

就这个现象,我们就称之为“不支持回流”了,这里指的是网关上的映射方式不支持回流,所以说“回流”一说,是针对映射方式而言的。

 

现在我们来看常规情况下,是为什么会发生这种情况的

我以前对iptables特别感兴趣的时候,曾对这个问题非常迷惑不解,直到去年为了考试,学习网络基础的时候才搞明白这个事情

 

过程如下:

192.168.0.3要请求访问218.4.218.4的80端口,根据它掌握的路由表,它本身是不知道电脑218.4.218.4在哪里的,所以把将这个数据包发送给它的默认路由,即电脑192.168.0.1。

注意:这个数据包的源地址是192.168.0.3、源端口假设是1025、目标地址是218.4.218.4、目标端口是80、SYN标志位为1、这是建立TCP连接的第一次握手。

 

如果“把目标地址为218.4.218.4的数据包发给了192.168.0.1”你听起来觉得有点矛盾,那么我解释一下:其实这个数据包的目标IP地址是218.4.218.4,目标MAC地址却是192.168.0.1的

 

 

电脑192.168.0.1接收到了这份数据包(因为它的身份是路由器,所以允许接收和转发目标地址不是自已、MAC地址却是自已接口 MAC地址的数据包),它分析这个数据包的目标地址,发现这个数据包是需要中转到电脑192.168.0.2:80去的,于是它把这个数据包转发给了电脑 192.168.0.2:80。

注意:这个数据包的源地址是192.168.0.3、源端口是1025、目标地址为192.168.0.2、目标端口为80、SYN标志位为1。我们要注意这个数据包在转发后发生了变化了,即目标地址变了。

电脑192.168.0.2顺利接到了数据包,它马上作出回应,发送一个数据包给电脑192.168.0.3。

注意:这个数据包的源地址是192.168.0.2、源端口是80、目标地址192.168.0.3、目标端口为1025、SYN标志位为1、ACK标志位为1、这是建立TCP连接的第二次握手。

电脑192.168.0.3顺利接到了数据包,然而它发现这是一个来自192.168.0.2:80的回应,因为ACK标志位值为1摆在那里呢。它想不起来什么时候给192.168.0.2:80这个目标对象发送过SYN请求,它认为这是一个错误的数据包,于是决定把这个数据包丢弃。然后继续等待 218.4.218.4:80的回应,一直等到超时。

而电脑192.168.0.2这边,它等192.168.0.3:1025的第三次握手请求包发送过来,以便建立一个TCP的连接。同样也没有结果,一直等到超时。三次握手在规定的时间内没有完成,访问宣布流产了。


那么怎么样才能正常访问呢?也就是说怎么样形成“回流”呢?

玄机在于电脑192.168.0.1把第一次握手的那个数据包在转发时,不仅要修改目标地址和端口,也要修改源地址和端口,我们来看一下情况会有什么不同:

电脑192.168.0.1接收到了这份数据包(因为它的身份是路由器,所以允许接收和转发目标IP地址不是自已、MAC地址却是自已接口MAC地址的数据包),它分析这个数据包的目标地址,发现这个数据包是需要中转到电脑192.168.0.2:80去的,于是它把这个数据包通过自已的5201端口转发给了电脑192.168.0.2:80,并在内存里面记录下来了,192.168.0.1:5201已定位给了192.168.0.3:1025。

注意:这个数据包的源地址是192.168.0.1、源端口是5201、目标地址为192.168.0.2、目标端口为80、SYN标志位为1。

电脑192.168.0.2顺利接到了数据包,它马上作出回应,发送一个数据包给电脑192.168.0.1。

注意:这个数据包的源地址是192.168.0.2、源端口是80、目标地址192.168.0.1、目标端口为5201、SYN标志位为1、ACK标志位为1、这是建立TCP连接的第二次握手。

电脑192.168.0.1顺利接到了数据包,检查内存记录发现,这个数据包真正的收货人是192.168.0.3:1025,于是它把这个数据包转发给192.168.0.3。

注意:这个数据包的的源地址是218.4.218.4、源端口为80、目标地址为192.168.0.3、目标端口为1025。我们要注意这个数据包在转发后发生变化了,即源地址变了。这很重要!为什么会变,因为在它心目当中,192.168.0.2:80早已定位给了218.4.218.4:80,映射规则使然。

电脑192.168.0.3顺利接到了数据包,发现期待已久的218.4.218.4:80终于有了回音,它兴奋不已的发出第三次的握手请求。

注意:这个数据包的源地址是192.168.0.3、源端口是1025、目标地址是218.4.218.4、目标端口是80、ACK标志位为1、这是建立TCP连接的第三次握手。

跟前面的数据包一样,这个数据包会从192.168.0.1那里中转给192.168.0.2

 

以后192.168.0.2:80和192.168.0.3:1025之间来往通信的数据包,全部由192.168.0.1负责中转,“回流”构成了



TP-Link企业级路由器TP-R483G搭建IP回流
Hi-YOLO的博客
01-09 1万+
我们部门有一组公网IP,主路由为TP-R483G,平时大家的电脑都是通过这路IP连至Internet的,服务器也是搭建在主路由下的。 通过端口映射,外网设备(如客户、或者我们自己的手机[蜂窝数据下])可以访问内网中的服务器,但是内网设备无法通过公网IP访问服务器。 假设,服务器某Web端口映射为8888,其他信息如下表: 名称 IP地址 公网地址 10.10.10.10 默认网...
AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
Crack_1的博客
12-16 2036
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1、web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网的访问。 (外网映射) 选择 IP业务—NAT—内部服务器 新建 选择您外网接口,转换类型是协议转换,协议类型是TCP/UDP(请根据您的需要选择),外部IP 当前接口接口IP地址,外部端口号,映射单个,输入您需要的端口,内部IP,输入服务器的内网IP地址,内部端口,输入对应的数据服务端口。 做完以上配置以后,就可以实现
内网不能访问网站怎么办?
天联SD-WAN的博客
06-15 1419
通过天联,用户可以在任何网络环境下都能够访问内网。这意味着即使用户身处不同的地区,也可以轻松访问他们所需的网站或者资源。无论是办公室中需要访问公司内部网站,还是远程学习中需要访问校园内部网站,天联都能够提供稳定、高效的。天联还具备自动重连、流量优化等功能,确保用户在使用过程中获得稳定的连接和良好的访问体验。是一款强大的解决内网不能访问网站问题的产品。它能够在任何复杂的网络环境下,实现不同地区间的快速组建局域网,解决。天联还具备其他丰富的功能,为用户提供更加便捷的网络体验。除了解决内网不能访问网站问题
华为NAT回流配置
最新发布
zhm120456的博客
07-08 681
简单来说只要是内网设备访问公网映射的内网设备存在访问异常,都需要配置NAT回流,下面以华为USG防火墙为例子讲解一下NAT回流的配置。配置NAT策略,源地址是需要进行访问的网段,目的地址为映射的服务器的私网地址,转为地址池中的地址(这个地址只要不是私网地址在用即可,例如2.2.2.2和11.11.11.11等等),同理优先级需要高于默认的NAT策略(即trust到untrust转换为出接口地址),不理解就放到最高。动作是不做策略路由且优先级高于正常路由选路,不理解可以放到最高。安全区域一定得是any。
浅谈回流
weixin_34226706的博客
03-06 589
浅谈回流[转载自天下网盟] 浅谈回流----作者漂流瓶 “回流”,光这个名词我听说也没多久的,不知是哪里给的这么一个雅号。以前知道在映射上,有这么个事情。但一直以来也没个名称,也不好简单直观的描绘,现在总算有个俗称了,虽然只有八成的贴切,也是好的 回流是什么?最简单的一个实例:网吧内网一台主机192.168.0.2建了个WEB服务站点端口80,然后在网关(其内网地址是1...
美丽的路由回流
kobeyan的专栏
07-13 3523
最近配置cisco的2801,遇到个问题,内部主机通过做nat能正常访问internet,内网的web服务器的80端口也正常映射出去,通过我们的外网地址可正常访问web服务,但问题出现了,如果内部pc想通过我们的外网ip来访问内网的web服务器的时候就不能正常访问了。     在网上查了些资料说的是这样的原理,   假如内网pc(a):192.168.0.146     外网ip(b):59.59
软件解决路由回流问题
nikolay的专栏
04-11 2402
最近在使用CAS 做SSO 时遇到了回流问题回流简要说明: 应用和服务在同一内网IP,本身服务和应用又被映射了外网IP,当应用使用外网IP访问服务时,访问被拒绝。因为路由检测到访问的服务在同一内网IP地址上,只能通过内网IP访问,或者更改路由的配置。) 在这里介绍软件的解决方法: 由于CAS验证的需要无法直接将IP配置改为内网IP,所以只能动态的判断,当发生WebExcepti
NAT回流,解决内网主机无法访问内网服务器问题
热门推荐
yao12_的博客
08-29 1万+
解决内网主机无法通过公网地址或域名访问内网主机的问题
华为路由web怎么设置?华为AR系列路由器web配置端口回流功能图文教程
10-01
在验证配置是否成功时,可以直接在浏览器中输入设定的IP地址和端口号,如果能访问内网服务器的网页默认界面,那么配置就已生效。 需要注意的是,不同型号的华为AR系列路由器可能有差异,若Web界面不同,可以尝试...
路由器回流设置解决网络访问.pdf
10-09
随着网络办公的普及,路由器的配置问题也日益凸显,特别是如何正确地设置路由器以便内外网用户都能正常访问网络资源成为了网络工程师需要解决的问题。本文主要针对路由器回流设置进行解析,讨论其必要性和实现过程...
H3C路由器映射内网端口到公网
11-28
内网服务器映射端口到公网实战配置: 内网端口通过内外网网闸映射端口,再通过路由器映射到公网上 拒绝一切理论派
思科路由器--nat
qianyiweiliang的博客
12-04 7167
在思科路由器上做nat技术
H3C防火墙路由器回流
weixin_34034670的博客
07-26 2098
外网IP地址可以通过域名访问内外800端口网站内网地址不可以,需要做回流定义ACL3001acl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255在E0/2端口配置nat servernat server protocol tcp global 122.1.1.1 800 192.168.1.11 800nat...
解决华为AR100W-S路由器回流问题内网环境下无法访问自己的外网地址)
weixin_34366546的博客
09-18 2868
1、 登入后切换到高级模式 2、设置好了专线IP后默认会有一个外网访问接口GE0/0/4,手动再添加一个内网访问接口,Vlanif1为内网接口名 3、配置内部服务器1)新建一个外网接口,GE0/0/4为外网接口名 2)再新建一个内网接口,Vlanif1为内网接口名 如下图,每个端口都新建一个外网接口和一个内网接口,即可解决回流问题 转载于:https://blog.51cto.com/msiyu...
路由器NAT回流踩坑
weixin_43794095的博客
05-07 890
导致外网无法访问 Docker 服务,而内网访问 Docker 正常是因为直接走了内网IP,不依赖端口转发。,如果问题解决,则确认是 Docker NAT 问题。请先尝试 --network=host。端口流量转发到容器的。宿主机IP:8080。宿主机IP:8080。
华为AR3260路由器配置NAT地址回流
WINDOWS SERVER 2003使用组策略禁用U盘
06-01 7007
4:先用G0/0/0建立一个NAT,建完这个在公司外面,或者在公司内部使用流量就可以公网地址,打开公司内部的服务器了。接口选择外网的接口,外部IP当前接口IP地址默认是外网的地址,外部端口号,内部IP,内部端口号根据实际情况填写。8:配置完就实现了地址回流的功能,在公司内部可以使用公网地址加端口号的方式访问公司内部的服务器了。5:在新建一个NAT,这个时候接口名称选择内部接口G0/0/1,外部IP填写外网的地址,外部端口号,内部IP,内部端口号,更具实际情况填写。3:我一般是使用一对一地址转,点击新建。
回流解析
itPhelps的专栏
10-25 984
<br />回流是什么?最简单的一个实例:<br />网吧内网一台主机192.168.0.2建了个WEB服务站点端口80,然后在网关(其内网地址是192.168.0.1、公网地址为218.4.218.4)上映射80端口到192.168.0.2的80端口,这样INTERNET上就能以http://218.4.218.4:80的地址访问到192.168.0.2的WEB站点了。<br />然后出现了个问题,在同网吧的另一台电脑192.168.0.3上,键入http://218.4.218.4:80,却无法访问该W
无法访问内网怎么办?
天联SD-WAN的博客
06-05 3130
网络设置问题: 在一些情况下,我们无法访问内网可能是因为网络设置问题。和计算机的固件和驱动程序可能存在缺陷或安全漏洞,这可能导致无法访问内网。及时更新设备的固件和驱动程序,可以修复已知的问题,并提高设备的稳定性和安全性。请根据具体情况选择适当的方法,并在使用任何工具或修改任何设置之前,务必备份您的数据,并小心谨慎地进行操作。通过重启路由器、交换机和计算机等设备,可以清除可能存在的临时故障,并恢复。可能存在问题,导致无法访问内网。在这种情况下,我们需要检查设备是否正常工作,并可能需要更换故障设备。
解决内网用户不能正常访问内部WEB服务器问题
weixin_33860722的博客
11-25 2239
某日,一过去同事给我打电话,询问关于NAT后的设备访问问题,现解决如下: 如图所示,该企业申请ADSL上网,只获得了一个公有合法IP地址。企业有一个WEB服务器提供访问,可以使用端口地址重定向功能来完成。 Router(config)#int e0 (1) ...
路由器上做外网映射,不能访问
03-29
<think>好的,我现在需要帮助用户解决路由器外网端口映射后无法访问问题,并提供配置教程和常见问题排查方法。首先,我需要回忆端口映射的基本概念和配置步骤。根据用户提供的引用内容,引用[1]提到了使用快解析进行端口映射,特别是当有端口限制或没有公网IP时。而引用[2]则以TP-LINK路由器为例,说明了一般路由器的配置方法。 首先,配置教程部分。用户可能需要一个逐步的指导,所以应该分步骤说明。例如,进入路由器管理界面,找到虚拟服务器或端口映射的选项,填写内网IP和端口,设置协议类型,保存并重启。这部分需要详细但简洁,确保用户能跟随操作。 然后是常见问题排查。这里需要考虑各种可能性,比如公网IP是否为动态的(可能导致IP变化后无法访问),内网服务是否正常运行,防火墙设置是否阻止了端口,协议类型是否正确,以及ISP是否封锁了某些端口。例如,用户可能配置正确,但防火墙阻止了外部连接,或者他们使用的80端口被ISP封锁,导致无法访问。 另外,用户可能没有提到但需要注意的点包括:检查路由器的WAN口IP是否为公网IP,确认是否启用了NAT回流(以便内网通过公网IP访问),以及确认外部网络测试的方法是否正确(比如使用手机移动网络而非同一局域网内的设备测试)。 需要确保语言通俗易懂,避免技术术语过于复杂。同时,引用用户提供的参考资料,比如引用[1]和引用[2],在适当的位置加入引用标识,如配置步骤部分提到TP-LINK的例子时引用[2],提到快解析工具时引用[1]。 最后,生成的相关问题需要围绕端口映射的扩展应用和可能的问题,比如动态DNS的使用、不同品牌路由器的差异、如何检测端口是否开放等。这些问题应该能帮助用户进一步解决可能遇到的困难,或者扩展他们的应用场景。</think>### 路由器外网端口映射配置教程 #### 步骤1:确认公网IP - 登录路由器管理界面(通常为$192.168.1.1$或$192.168.0.1$),查看WAN口IP地址是否为公网IP[^2]。 - 若为私网IP(如$100.64.x.x$),需通过第三方工具(如快解析)实现内网穿透[^1]。 #### 步骤2:配置端口映射(以TP-LINK为例) 1. **进入虚拟服务器设置** 导航至「传输控制」→「虚拟服务器」,点击「添加」按钮。 2. **填写映射信息** - 服务端口:外网访问的端口(如$8080$) - 内部端口:内网服务的端口(如$80$) - IP地址:内网服务器的IP(如$192.168.1.100$) - 协议类型:选择「ALL」或「TCP/UDP」 3. **保存并重启** 应用配置后重启路由器生效[^2]。 ```plaintext # 示例配置 外网端口: 8080 → 内网IP: 192.168.1.100:80 ``` #### 步骤3:测试外网访问 通过手机移动网络访问`公网IP:外网端口`(如$123.45.67.89:8080$),验证是否成功。 --- ### 常见问题排查 1. **公网IP变动导致失效** - 动态公网IP会周期性变化,需搭配动态DNS(DDNS)服务。 - 使用`ping 域名`命令检查IP是否与路由器WAN口IP一致。 2. **内网服务未正常运行** -内网通过`telnet 内网IP:端口`测试服务是否可达(如$telnet 192.168.1.100 80$)。 3. **防火墙/安全组拦截** - 关闭电脑防火墙或添加入站规则(Windows防火墙设置)。 - 云服务器需在安全组开放对应端口。 4. **协议类型不匹配** - 若服务使用TCP协议,映射时需选择「TCP」而非「UDP」。 5. **ISP封锁端口** - 避免使用$80$、$443$等敏感端口,改用非常用端口(如$5080$)。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值